19) REPUBLIQUE FRANQAISE 

INSTITUT NATIONAL 
DE LA PROPRIETE INDUSTRIELLE 



PARIS 



(ll) N° de publication : 

(& n'utiliser que pour les 
commandes de reproduction) 

1) N° d'enregistrement nationai 



2 672 402 
91 01268 



(|l) Int CI 5 : G 06 F 7/58 



© 



DEMANDE DE BREVET D'INVENTION 



A1 



2) Date de depot : 05.02.91. 
© Priorite : 



(43) Date de la mise a disposition du public de la 
w demande : 07.08.92 Bulletin 92/32. 

(56) Liste des documents cites dans le rapport de 
recherche : Se reporter a la fin du present fascicule. 

(60) References a d'autres documents nationaux 
apparentes : 



uy Demandeur(s) : Societe Anonyme dite GEM PLUS 
w CARD INTERNATIONAL — FR. 



(72) Inventeur(s) : Geronimi Francois Cabinet Ballot- 
Schmit et Viricel Gilles. 



© Titulaire(s) 



(74) Mandataire : Cabinet Ballot-Schmit. 



(54) Procede et dispositif pour la generation de nombres pseudo-aleatoires uniques. 

(57) Le procede consiste a inscrire (1, 2) dans une zone 

delerminee de la memoire non volatile d'une carte a me- l_ 

moire a microcircuit une information de valeur determinee 
et non repetitive a chaque generation d'un nombre alea- 
toire et a convertir (3, 4) cette information en une informa- 
tion ayant la forme d'un nombre pseudo-aleatoire en pro- 
grammant I'unite de traitement au moyen d'un programme 
de cryptage de ('information standard, type DES, 
Applications: cartes a memoire. 



DQNNEE 61 BITS I 



I CLE SECRETE 61 BITS "] 



0ES < Sonne e. tie) = Random de bUb 



NOMBRE ALEATORE 6U BITS 



INFORMATION VARIABLE 6& BITS 
Iprevi'srble mats non repetihv^ 
r canpfis dune s*«»on i I'avjtre) 



0£ 



s 

/' 


♦i 


7 


COMPTEUR 


REGISTRE A 0ECALAGE 


COMPTEUR 


16 BITS 


32 BITS 


1&BITS 




EEPR0M 


HAM 




BNSDOCID: <FR ?672402A1J_> 




PROCEDE ET DISPOSITIF POUR LA GENERATION 
DE NOMBRES PSEUDO-ALEATOIRES UNIQUES 

La presente invention concerne un precede et un 
dispositif pour la generation de nombres 
pseudo-aleatoires uniques . 

Elle s 1 applique notamment a la realisation de 
5 cartes a microcircuits dites a puces utilisables dans 
tout systeme ou 1 1 acces a des informations ou a des 
services est severement controle. II s'agit notamment 
des systemes distributeurs de monnaie fiduciaire, du 
domaine des systemes de television a peage ; des 

10 systemes pour la distribution d 1 essence ou de fuel 
domestique ; des systemes pour 1 t acces aux banques de 
donnees etc. . . 

Dans les cartes a memoire a microprocesseur qui 
sont utilisees dans les domaines precedents, 1' acces a 

15 des informations ou a des services est severement 
controle. On utilise pour cela des mots de passe. Ces 
mots de passe sont de plus en plus souvent transmis en 
les cryptant par un code pseudo-aleatoire fourni par un 
genera teur a structure programmee ou eventuellement 

2 0 cablee. Dans les cartes a memoire a base de 
microprocesseurs, il n f existe dans l'etat de la 
technique que des generateurs materiels (base sur des 
phenomenes physiques) ou des generateurs logiciels base 
sur des proprietes mathematiques et deja utilises dans 

2 5 le monde informatique traditionnel . Ces deux principes 
ne peuyent pas garantir l'unicite des nombres generes ce 
qui presente un inconvenient majeur de securite en 
matiere de cryptographie moderne. 

Si cette solution presente 1 1 avantage de ne pas 

30 renseigner les fraudeurs sur les mots de passe 
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utilises, elle laisse en effet la possibility a ces 
derniers de recopier les mots de passe cryptes transmis 
qui, de par leur defaut d'unicite, peuvent tou jours etre 
reutilises pour donner l'acces aux informations ou 
services pour lesquels la carte est dediee. En effet, 
il suffit alors de renouveler 1 1 experience de maniere a 
retrouver une valeur deja utilisee et ainsi frauder le 
systeme . 

Par ailleurs, la production de nombre aleatoire 
unique se . heurte aux possibilites technologiques de 
reecriture dans des memoires non volatiles. Chaque 
cellule ne peut en effet etre reecrite plus de 10,000 
fois. Le but de 1' invention est de pallier les 
inconvenients precites . 

A cet effet, l 1 invention a pour objet un procede 
pour la generation de nombres pseudo-aleatoires uniques 
dans une carte a memo ire a microcircuits comportant au 
moins une memoire non volatile reinscriptible (EEPROM) 
couplee a un organe de traitement de donnees, 
caracterise en ce qu'il consiste 

a inscrire dans une zone determinee de- la 
memoire, une information de valeur determinee et non 
repetitive a chaque generation d'un nombre aleatoire et, 

- a convertir cette information en une information 
ayant la forme d'un nombre pseudo-aleatoire en lui 
faisant subir dans 1» organe de traitement de donnees un 
programme de cryptage de type DES. 

Elle a egalement pour objet un dispositif pour la 
mis en oeuvre du procede. 

I/ 1 invention a en outre pour principal avantage de 
permettre, en utilisant un compteur qui comporte un 
registre a decalage, d'obtenir un nombre de tirages tres 
eleve de nombres aleatoires comparativement au nombre de 
cycles d'ef f acement/ecriture autorises dans la memoire 
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non volatile equipant habituellement les cartes a 
iaemoire. Ainsi, malgre un nombre d ' ef f acement/ecriture 
limite a 10.000 par la technologie actuelle des memoires 
non volatiles, encore connues sous la designation 
EEPROM, il est possible, grace a 1' invention, de generer 
dans le pire des cas 320.000 valeurs differentes et dans 
le meilleur des cas 21 milliards, en utilisant un espace 
memoire EEPROM tres reduit de 64 bits, 

D f autres caracteristiques et avantages de 
1 1 invention apparaitront ci-apres a 1 1 aide de la 
description qui suit faite en regard des dessins annexes 
qui representent : 

Figure 1 : un mode d' execution du procede selon 
I 1 invention mis sous la forme d'un organigramme . 

Figure 2 : un format d'un mot d 1 information 
utilisable pour la mise en oeuvre du procede selon 
l 1 invention represents par 1 1 organigramme de la 
f igur e 1 - 

Dans sa definition la plus generale, une carte a 
memoire pour 1 • application du procede selon 1 ' invention 
comporte, de fagon connue et non representee, un 
dispositif de memorisation et un organe de traitement 
forme normalement par un microprocesseur ou tout 
dispositif equivalent, couples l'un a 1 1 autre par un bus 
de donnees et d'adresses. Ce bus assure egalement la 
liaison du microcircuit de la carte ainsi formee, avec 
des dispositif s d'ecriture et de lecture exterieurs a la 
carte. Le dispositif de memorisation comporte 
generalement une memoire non volatile, de type EPROM ou 
EEPROM, dans laquelle sont enregistres des 
microprogrammes necessaires au fonctionnement de 
1 ' organe de traitement et normalement une memoire vive 
volatile de type RAM. Cette derniere sert pour la 
memorisation temporaire des donnees et des instructions 
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specif iques de 1 1 application en cours avec la carte a 
memoire. Dans la memo ire non volatile sont ranges, par 
exemple, d'une part le code secret identifiant le 
titulaire de la carte, avec eventuellement un programme 
de chiffrement pour 1'obtention d'une signature calculee 
sur la base du code secret et, d 1 autre part, des 
instructions du programme d 1 utilisation lui-meme. 

Le procede selon 1 1 invention dont les etapes la 4 
sont representees schematiquement sur 1 ' organigramme de 
la figure l consiste, chaque fois qu'un nombre aleatoire 
10 est a produire, a calculer suivant les etapes l et 2 , 
a partir d'une donnee 1 d • information determinee (de 
longueur N = 64 bits par exemple) , une nouvelle donnee 2 
de meme longueur N", mais dont la valeur ne pourra plus a 
nouveau etre generee lors d'une requete ulterieure de 
nouvelle donnee 2. Une fois transformee, la donnee 2 est 
a 1 1 etape 4 associee a une clef secrete 3 comportant un 
meme nombre de bits, par un algorithme de calcul 
communement connu sous 1 ' abreviation anglo-saxonne DES 
de "Data Encryption Standard" et dont une description 
peut etre trouvee dans les brochures des normes FlPSdes 
"Federal Information Processing Standards" des 
Etats-Unis d 1 Amer ique . 

La superiority de 1' algorithme d ' association DES 
sur les autres algorithmes d ! association est qu'il 
permet d'obtenir pour chaque clef secrete constante 3 de 
longueur de N bits, les 2 N combinaisons possibles du 
resultat en garantissant tou jours le caractere non 
previsible du nombre aleatoire 10, c ' est-a-dire, 
d'obtenir toujours des nombres aleatoires differents 10. 
Ceci est obtenu a partir des 2 N combinaisons possibles 
de la donnee en entree. Mais le fait que la cle ait une 
longueur de N bits n'a rien a voir avec le fait qu'il y 
ait 2 N combinaisons differentes sur le resultat. Ceci 
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est. lie au fait que la donnee en entree a une longueur 
de N bits- Par exemple, les caracteristiques de DES 
indiquent que pour une clef secrete constante, les 2^4 
combinaisons possibles de la donnee balaient les 2 64 
combinaisons possibles du resultat ce qui garantit, en 
plus du caractere non previsible du nombre aleatoire 
(lie aux performances de DES) , la propriete de tou jours 
obtenir des nombres aleatoires differents, Dans 
l 1 invention, on disposera ainsi d'une clef secrete 
constante 3 . 

Pour obtenir ce resultat, chaque donnee 2 
d 9 information variable est structuree de la fagon qui 
est representee a la figure 2. Son format comporte trois 
zones, une premiere zone 5 de capacite egale par exemple 
a 16 bits represente les etats pris par un premier 
compteur, une deuxieme zone 6 de capacite egale par 
exemple a 3 2 bits represente les etats d'un registre a 
decalage et, une trois ieme zone 7 de capacite egale par 
exemple a 16 bits represente les etats d'un deuxieme 
compteur . Les premiere et deuxieme zones 5 et 6 sont 
alors situees dans une memoire non volatile de la carte 
alors que la zone 7 est situee en memoire vive. Selon 
1' invention, le contenu des trois zones est considere 
comme equivalent a celui qui serait donne par un 
compteur de N bits qui serait increments a chaque 
demande de calcul. Cette information est done previsible 
mais est tou jours differente des valeurs precedentes. Le 
stockage en memoire EEPROM des donnees des zones 5 et 6 
permet de conserver les valeurs de leur contenu lorsque 
la tension d ' alimentation de la carte est supprimee. 
Cette solution permet d 1 obtenir un nombre maximum de 
nombres aleatoires tres superieur aux 10.000 autorises 
par la technologie EEPROM, 

La zone 6, qui est organisee en registre a 
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decalage, permet d • obtenir un nombre maximum de nombre 
aleatoires. Pour cela, a chaque nouveau calcul ou 
session, un bit de valeur 1 est charge a la derniere 
position de poids le plus faible du registre qui est 
encore a 0. Lorsque 3 2 demandes de calcul, correspondant 
a la mise a 1 des 3 2 bits du registre 6 a decalage, sont 
effectuees, le calcul suivant remet a zero le registre a 
decalage represents par la zone 6. Lorsque les 32 
calculs ont ete realises, le registre a decalage est a 
la valeur FFFFFFFFH bien que chaque bit n'ait ete ecrit 
qu'une seule fois. On obtient ainsi 32 valeurs 
differentes en ne consommant qu'une seule ecriture pour 
chaque cellule, A chaque effacement de ce registre de 3 2 
bits, le compteur de 16 bits de la zone 5 en EEPROM sera 
incremente ce qui en definitive permet d 1 obtenir, 3 2 X 
10000 = 3 2 0000 valeurs imprevisibles et non repetitives 
pour la donnee 2 (sans qu'aucun des bits manipules en 
EEPROM ne soit efface/ecrit plus de 10000 fois)-. Pour 
obtenir une plus grande quantite de valeurs (hors pire 
cas) , il suffit d'adjoindre a cette variable de 48 bits 
en EEPROM , un compteur 7 de 16 bits en RAM qui - sera 
incremente a chaque calcul dans une meme session. 

La zone 7 situee en memoire RAM permet done 
d'augmenter le nombre des valeurs precedentes en 
augmentant, de maniere similaire au compteur materialise 
par la zone 5, le contenu du compteur materialise par la 
zone 7 a chaque nouveau calcul dans une meme session. 
S'il arrive dans une meme session que ce compteur 
deborde, e'est-a-dire que son contenu depasse ici 6553 6 
valeurs, on peut modifier le contenu du registre a 
decalage materialise par la zone 6 de la memoire EEPROM 
comme si une nouvelle session commen?ait. Dans ce cas, 
on met a 1 un autre des bits de ce registre 6. 

Au total, cette disposition permet en concatenant, 
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c ' est-a-dire en juxtaposant les 48 bits en EEPROM aux 16 
bits situes en memoire RAM, d'obtenir 320,000 X 65536 
soit environ 21 milliards de valeurs imprevisibles et 
non repetitives par la mise en oeuvre d'un calcul de 
5 nombres aleatoires en utilisant I'algorithme DES 
precedemment cite. 

Par securite, on associe au compteur 5 de 16 bits 
en EEPROM un compteur-image en EEPROM. Ce compteur-image 
contient tou jours la meme valeur que le veritable 

10 compteur et est utilise dans le cas ou la valeur du 
compteur est detruite (arrachage de la carte lorsque le 
compteur vient d'etre efface pour en modifier la 
valeur) . II n'est pas necessaire de prevoir la meme 
chose pour le registre a decalage car celui-ci n'est 

15 efface que pour sa remise a zero. 

La structure du compteur ainsi utilisee (comprenant 
un registre a decalage) permet d f obtenir un nombre de 
tirages tres eleve comparativement au nombre de cycles 
d 1 ef f acement/ecriture (mise a jour) autorise dans la 

20 memoire non volatile. Ainsi, malgre un nombre 
d 1 eff acement/ecriture limite a 10000 par la technologie 
EEPROM, on arrive a generer dans le pire des cas 320,000 
valeurs differentes et dans le meilleur des cas 21 
milliards. 
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REVINDICATIONS 



1. Precede pour la generation de nombres 
pseudo-aleatoires uniques dans une carte a memoire a 
microcircuits comportant au moins une memo ire non 
volatile reinscriptible (EEPROM) couplee a un organe de 
traitement de donnees caracterise en ce qu'il consiste, 

- a inscrire (1,2) dans une zone determinee de la 
memoire, une information de valeur determinee et non 
repetitive a chaque generation d'un nombre aleatoire et, 

- a convertir (3,4) cette information en une 
information ayant la forme d f un nombre pseudo-aleatoire 
en lui faisant subir dans l 1 organe de traitement de 
donnees un programme de cryptage de type DES. 

2. Procede selon la revendication 1, caracterise en 
ce que 1 1 information de valeur determinee et non 
repetitive est inscrite dans une memoire EEPROM de la 
carte . 

3 . Procede selon la revendication 2 , caracterise en 
ce que 1 1 information de valeur determinee et non 
repetitive est structuree suivant au moins deux zones, 
une premiere zone (6) pour ecrire de fagon systematique 
au moins un nouveau bit chaque fois qu'un nombre 
pseudo-aleatoire est genere par la carte, et une 
deuxieme zone (5) de comptage pour totaliser le nombre 
de fois ou la premiere zone a ete totalement ecrite. 

4. Procede selon la revendication 3, caracterise en 
ce qu'il consiste a structurer 1 1 information de valeur 
determinee et non repetitive en lui rajoutant une 
troisieme zone (7) de comptage pour totaliser le nombre 
de fois ou, dans une meme session, un nombre 
pseudo-aleatoire a ete genere. 
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5. Procede selon la revendication 4, caracterise en 
ce que les premiere et deuxieme zones (6, 5) sont 
memorisees dans une memoire non volatile de la carte et 
en ce que la troisieme zone (7) est memorisee dans une 
memoire volatile de la carte. 

6. Procede selon la revendication 3, caracterise en 
ce qu'on reserve une troisieme zone pour servir d 1 image 
du resultat du comptage totalise dans la deuxieme zone. 

7. Dispositif pour la mise en oeuvre du procede 
selon l'une quelconque des revendications la 6, 
caracterise en ce qu'il est forme par une carte a 
microcircuit comportant une unite de traitement coup lee 
a une memoire non volatile et a une memoire volatile. 
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